流程安全性
安全基本原则:可用性 完整性 机密性 CIA
安全框架:zachman P2DR Sabsa IPDRR IATF
安全评估方法:安全测试: SAST静态测试、 IAST交互测试 安全扫描
危险模型:攻击树分析 DREAD风险评估
渗透测试: 红蓝对抗 白帽黑帽
架构安全性
物理安全
数据安全:责任分层 最小特权 对称秘钥 非对称秘钥 数字签名 数据逻辑保护 数据高可用
通信安全:网络攻击:DDOS拒绝服务、DNS劫持、重放攻击、ARP地址解析欺骗 最强之盾:网络防御 WAF应用防火墙 IDS/IPS入侵检测 VPN/IPSEC安全通道加密 PGP邮件加密 TLS HTTP隧道加密
身份安全:Authentication认证 Authorization授权:MAC、RBAC、oauth第三方授权 Audit审计
软件安全:操作系统安全:病毒、蠕虫、特洛伊木马、零日攻击、补丁
数据库安全:防止SQL注入、防止推理攻击
Web应用安全:防止XSS跨站点脚本攻击、防止重放攻击
安全性实现方案
SQL注入预防
XSS跨站点攻击防治
AES对称加密
PKI基础架构
JWT签名
WAT应用防火墙
IDS入侵检测
SAML安全断言
RBAC访问控制